個人データを、ビジネスを守る、IIJ

EDPS EU機関によるAmazon・Microsoftのクラウド、Microsoft Office365利用を調査


2021.6.7 改訂版SCCに関する解説を公開しました

欧州データ保護監察機関(EDPS)は、2021年5月27日、

  • EU機関(European Union Institutions, bodies and agencies)によるAmazon Web Services(AWS)とMicrosoftのクラウドサービス利用
  • 欧州委員会によるMicrosoft Office365の利用

について、欧州司法裁判所(CJEU)によるシュレムスⅡ判決の遵守状況等の調査を開始することを公表した。

調査に至る経緯

 CJEUによるシュレムスⅡ判決(2020年7月16日)は、EU-U.S. Privacy Shieldを無効とする一方、標準契約条項(SCC、Standard Contractual Clauses)を有効とした予備判決である。
 このSCCについては、同判決及び同年7月23日に欧州データ保護会議(EDPB)が公表したFAQの中で、移転先国の法制度・運用状況によっては、EU水準のデータ保護を確保するための補完措置が必要となることが示されている。さらに、移転先国の法制度・運用状況や必要となる補完措置については、データ輸出者と輸入者がケースバイケースで検証する必要があり、補完措置を講じてもなお十分なデータ保護レベルを確保できない場合はデータ移転を中止しなければならないとされている。
 これらの判断を受け、EDPSは、EU機関による個人データ移転状況等を検証するため、同年10月5日、同機関に対して、個人データ移転状況等に関する報告を行うよう命令した。
さらに、同年10月29日、「シュレムスⅡ判決を遵守するためのEUの機関に対する戦略文書」を公表した。戦略文書の主な内容は以下のとおりである。

  • 米国への個人データ移転への対処を優先課題とする。
  • EU機関に対し、進行中の個人データの域外移転について、依拠している移転枠組み・移転先国・移転されたデータの種類、データ主体のカテゴリ等を特定して、EDPSに報告するよう求める。
  • EU機関に対し、特定された個人データの域外移転について、データ移転影響評価を行い、EU水準のデータ保護を確保していない第三国へのデータ移転等をEDPSに報告するよう求める。

 また、EDPBは、同年11月10日、EU水準のデータ保護を確保するための補完措置の例を示すレコメンデーションを公表した。
 これらの報告や公表等を踏まえた結果、EDPSは、本件の調査を開始することを決定した。

調査の目的

調査の目的について、EDPSは以下のように述べている。

  • 米国に拠点を置く大手IT企業のクラウド関連のソフトウェアやインフラ、プラットフォームサービスに対するEU機関の依存の度合いはますます高まっている。その一方、米国に移転された個人データは、米国当局による監視を受けるリスクにさらされている。
  • AWS、Microsoftは、シュレムスⅡ判決を遵守するため、両社ともに、従来のSCCに補完措置を追加したが、これらの補完措置ではEU水準のデータ保護を確保するのに十分ではない可能性がある。
  • したがって、EU機関によるAWSとMicrosoftのクラウドサービス利用がシュレムスⅡ判決を遵守するものであるかを検証し、改善を促す必要がある。
  • Microsoft製品とサービスの使用に関しては、シュレムスⅡ判決等に加え、EDPSが推奨事項を公表しているが(2020年7月2日)、欧州委員会がこれらに準拠しているかを検証し、改善を促す必要がある。

今後の方針

 EDPSは、本件の調査を通じて、EU機関によるシュレムスⅡ判決やデータ保護関連法令の遵守を進め、EU機関がプライバシーと個人データ保護の模範となることを目指す、としている。
 本件調査とこれに伴うEU機関やAWS・Microsoftの対応は、日本企業がサービスプロバイダーと契約している場合の補完措置の要否・内容、新たにサービスプロバイダーと契約する場合の内容等を検討する上で参考になるものと考えられるため、注視する必要がある。

【EDPSのプレスリリース】

https://edps.europa.eu/press-publications/press-news/press-releases/2021/edps-opens-two-investigations-following-schrems_en

【シュレムスⅡ判決の既報】

https://portal.bizrisk.iij.jp/49

【シュレムスⅡ判決に関する論説】

https://portal.bizrisk.iij.jp/Screms2-commentary

【EDPBのFAQに関する既報】

https://portal.bizrisk.iij.jp/500

【シュレムスⅡ判決】

http://curia.europa.eu/juris/document/document.jsf;jsessionid=57E5E2882434E9352EB26E5030335998?text=&docid=228677&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=9771928

【EDPBによるシュレムスⅡ判決に関するFAQ】

https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118.pdf

【EDPBによる補完措置についてのレコメンデーション】

https://edpb.europa.eu/sites/default/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_en.pdf

【EDPSによるMicrosoft製品・サービスの使用に関するパブリックペーパー】

https://edps.europa.eu/sites/default/files/publication/20-07-02_edps_paper_euis_microsoft_contract_investigation_en.pdf

関連情報

コンテンツ

GDPR関連コンテンツ

Amazon(AWS)関連コンテンツ

Microsoft関連コンテンツ

クラウド関連コンテンツ

SCC関連コンテンツ

域外移転関連コンテンツ

サービス

IIJ GDPR有事対応支援サービス

インシデント発生時に72時間以内の監督機関への報告対応、社内関係部署のしかるべき連携、対データ主体の情報開示といったセンシティブかつ急を要する対応について、お客様のチームに合流してアドバイスを行います。またご依頼に基づき、実際の各種報告書面の作成等の必要な作業を行います。

IIJ DPO/CPO補佐サービス

IIJ DPO/CPO補佐サービスは、 IIJのプライバシー保護法コンサルタントがお客様のGDPR、及び各国プライバシー保護法により企業に求められるDPO(Data Protection Officer:データ保護責任者)とCPO(Chief Privacy Officer:最高プライバシー保護責任者)をサポートするアウトソーシングサービスです

IIJ DPOアウトソーシングサービス

IIJ DPOアウトソーシングサービスは、EU GDPRで求められるDPO(Data Protection Officer:データ保護責任者)のアウトソーシングサービスです。
プライバシー保護法制とITセキュリティに高い専門性を持つIIJのDPOチームが、お客様のGDPR遵守対応をサポートします。

IIJ EU代理人サービス

EUに拠点をもたずEUと取引をする企業は、管理者、処理者に関わらず、EU代理人(EU representative)を選任する義務があります。IIJ EU代理人サービスは、EU各国(27カ国と英国)のEU代理人が、EU各国の監督機関やデータ主体(EUに所在する個人)から、英語、フランス語、ドイツ語、スペイン語、イタリア語での問い合わせに対応します(その他のEU公用語も対応可能です)。また、日本語でお客様に取り次ぐと共にGDPRの専門家としてのアドバイスも行います。

IIJビジネスリスクアドバイザリーサービス

GDPRや中国CS法、カリフォルニア消費者プライバシー法に関するコンサルティングを行っている専門家が、プライバシー保護規制のちょっとした疑問からドキュメントの作成支援に至るまで、お客様の様々なご相談にお答えします。

BizRis有料会員のメリット

有料会員様向けのアドバイザリーサービス

GDPRや中国CS法、カリフォルニア消費者プライバシー法に関するコンサルティングを行っている専門家が、プライバシー保護規制のちょっとした疑問からドキュメントの作成支援に至るまで、BizRis有料会員様の実務上の様々なご相談にお答えします。

関連記事